編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

産業制御システム狙う新マルウェア「TRITON」、国家が関与か

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2017-12-18 11:41

 研究者らによると、ハッカーが「TRITON」マルウェアを利用し、中東の重要インフラを保有する組織のシステムを停止させたという。

 FireEyeの「Mandiant」部門のサイバーセキュリティ研究者は米国時間12月14日、脅威アクターが重要なインフラストラクチャを有する組織の緊急停止システムを操作できるマルウェアを展開したことを明かした。

 この新型のマルウェアであるTRITONは、産業制御システムを狙う悪意あるソフトウェアファミリとして公に特定されている数少ないものの1つで、イランの核施設を狙った「Stuxnet」や、ウクライナで停電を引き起こしたマルウェアに続く種類のものだ。

 Symantecの研究者によると、TRITONは少なくとも2017年8月から存在している。TRITONは特定の種類の産業制御システム(ICS)、すなわちTriconex安全計装システム(SIS)コントローラと通信するために設計されたという。

 TRITONは、Microsoftの「Windows」OSを使用するコンピュータを通してそうしたコントローラと通信することで、それらを操作するために構築された攻撃フレームワークだ。Symantecの調査はまだ進行中だが、このマルウェアがSISデバイスの挙動を改変するコードを注入することで、脅威アクターがそれらのデバイスを制御して、損害をもたらすことを可能にする恐れがあるようだという。

 今回のケースでは、TRITONは緊急停止システムを狙う目的で利用された。FireEyeの研究者は、TRITONは「物理的な損害を及ぼす」ために使われたが、攻撃中に何らかの理由で稼働停止したという。

 TRITONはSISコントローラを再プログラムするために展開されたが、それらのデバイスの一部がフェイルセーフ状態に入って、設備を停止し、運営者に異変を伝えたようだ。

 「このインシデントを引き起こした脅威アクターはまだ不明だが、この活動は攻撃の準備をする国家の動きと一致するとわれわれは考えている」(FireEye)

 今回のケースは、金銭を目的としたものではないようだ。しかしこのグループの持続性やスキル、主要インフラを狙うこと、自由に利用できるリソースなどすべてが、国家の支援があることを示しているようだ。

 FireEyeは、「重要インフラを狙って、システムを混乱や機能の低下、破壊に陥れる動きは、ロシアやイラン、北朝鮮、米国、イスラエルの国家のアクターが世界的に実行した多数の攻撃とスパイ活動と一致している」と述べた。「この手の侵入は、必ずしも標的とするシステムを混乱させる差し迫った意図を示しているのではなく、有事に備えたものかもしれない」

TRITON マルウェア
提供:Symantec

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]